web-dev-qa-db-ja.com

スタートアップのソースコードを保護するDLP

私のクライアントは、ソースコードを保護し、基本的なネットワークセキュリティ、USB無効化などを実施したい小規模なスタートアップです。

小規模なスタートアップに適したDLPオプションは何か、主に意図的または偶発的なソースコードの公開を保護するために疑問に思っている。

ありがとう

5
blackbox007

これは、いくつかのDLP製品を任意の環境にプラグインするほど簡単ではないと思います。

一方で動作するためのコードへのアクセスと、外部と通信するための何らかの手段(Webサーフィンなど)を必要とする内部関係者による意図的な情報の盗難を実際に防止することは実際には不可能だと思います情報)。通信部分とコード作成部分の間の直接チャネルを物理的に分離したネットワークやシステムに配置することでこれらを直接防ぐことができるかもしれませんが、これは生産性に顕著な影響を与えるため、ほとんどの環境では非現実的です。必要な柔軟性と高い生産性を実現するために互いに高い信頼が必要とされることが多い新興企業にとっては、おそらく特に受け入れがたいものです。

インサイダーによるソースコードの偶発的な流出は少し異なります。 DLPは、従業員がstackoverflowなどの一部の外部サイトにコードのスニペットを投稿することを防ぐ可能性があります。しかし、これは何も投稿できないようにする(これも生産性に影響を与える)か、何らかの方法ですべてのトラフィックを検査し(SSLインターセプトを含む)、ソースコードの一部と投稿を比較することを犠牲にして行われます-何らかの理由でDLPがコードに関する情報を取得する必要がありますそれは保護する必要があります。しかし、問題は、コードの小さなスニペットのリークがまったく重大な問題でさえあるかどうかです。

問題の詳細は、コードの主要な部分をリークしている可能性があります。内部者が誤って主要な部分を漏らしていることは、ソースコードが内部的に処理される方法にいくつかの問題があることを示唆しています。つまり、DLPが実際には役に立たないプロセスの問題です。したがって、プロセスの設計と運用の方法から、社外にソースコードを用意する必要さえないこと、つまり、製品やそのソースコードを実行するために、一部のクラウドシステムでソースコードを利用できる必要がないことを確認してください。製品を実行できるように、顧客に出荷する必要があります。残念ながら、ユースケースに関する十分な具体的な情報がないため、これらは非常に広範な推奨事項にすぎません。

攻撃者によるコードの主要部分の漏洩は、DLPがおそらく関連性の低い部分である問題です。代わりに、通常の推奨事項が適用されます。つまり、最初に適切なセキュリティを適用して、ネットワークへの侵入とネットワーク内の横方向の移動を十分に難しくし、発生することを適切に監視します。そして、誰がいつどのように(どのシステムから)データにアクセスできるかなどが明確であることを確認します。また、それが明確であるだけでなく、異常な使用パターンに対して実際に適用および監視されることも確認します。そして、このアクセスがより制限的であるほど良いですが、柔軟性と生産性の損失を伴うより多くの制限が再び来ます。 BeyondCorpのようなゼロトラストの概念は、ここで役立ちます。しかし、それらを実装できるかどうかは、インフラストラクチャと環境、使用するアプリケーションの詳細に大きく依存します。そのため、これらは幅広い推奨事項にすぎません。

3
Steffen Ullrich

要件を特定する必要があり、特に、ユーザーが必要とするセキュリティのレベルを理解する必要があります。クライアントがウイルス対策企業である場合は、ソースコードを高度に保護する必要があります。したがって、ある程度高いレベルのセキュリティソリューションを提供する必要があります。単層保護であってはなりません。会社の規模は関係ありません。データの価値は重要です。

それによると、DLP、DRMソリューションを使用できます。 DLPは非常に高レベルのセキュリティを提供します

  • 使用または保管される場所での発見と保護
  • データ使用量の監視。
  • 暗号化されたデータの可視性と制御.... etc

間違いなく、意図的または偶発的なデータの漏洩に対して高レベルのセキュリティを提供しています。

それに加えて、DRMソリューションを使用できます。これはデータ権利管理ツールであり、DLPと同様の保護を提供します。(DRM!= DLP)

他の質問では、USBの無効化は通常、ウイルス対策ソリューションによって提供されます。ネットワークセキュリティは、アンチウイルスによって提供できます。しかし、彼らは別の仕事の専門知識です。ただし、アンチウイルスとDLPの両方を含む単一の製品を購入できます。現在、すべての主要なアンチウイルスシステムがこれらの機能を提供しています。ただし、DLPソリューションの場合は、追加で支払う必要があります。

ネットワークセキュリティについてファイアウォール、IDS/IPSシステムを使用できます。彼らがコストを考慮すれば、評判の良いオープンソースのファイアウォールが利用可能です。

2
Infra

あなたの脅威は何ですか?

クライアントが部外者を恐れてシステムに侵入し、ソースコードを盗んだ場合は、その場合、さまざまなDLPソリューションがうまく機能するため、それらのメカニズムを組み合わせる必要があります。最初に、すべてのファイルをtagに適切に設定し、自動タグ付けのルール(ディレクトリベースなど)を実装します。 fingerprintソースファイルも必要ですが、作業中の場合は信頼できません。 ruleを記述できる標準ヘッダーなどの識別情報をファイルに追加することをお勧めします。確かに、攻撃者はファイルを編集してそのヘッダーを削除できますが、攻撃者があなたが何をしているかを理解していて、それを行うための十分なアクセス権がある場合のみです。そして、あなたが頼りにしているのはそれだけではないので、あなたは元気です。

クライアントがinsidersソースコードの漏洩を恐れている場合は、かなり難しくなります。タグとフィンガープリント(ヘッダーは役に立たない、インサイダーはそれらを知っており、アクセス権を持っている)に加えて、それらを変更できるユーザーと方法、およびこれらの管理機能をサポートするDLPシステムに関するルールを実装する必要があります。ワークフローと権限を定義する必要があります。すべて実行可能ですが、スタートアップには扱いきれないかもしれません。


製品に関する限り:

  • Forcepoint DLPはうまく機能します。以前に使用したことがあり、必要なことを実行できます。
  • McAfee DLPもカバーする必要があります
  • Boldon Jamesは、予算があればさらに役立つタグ付けシステムです。

それらのすべては、実装する製品に精通している誰かを必要とします。他にもありますが、私は彼らとの直接の経験はありません。

0
Tom

私のデータ損失防止システムのすべての経験において、お金の袋を単に配っただけでは、データが漏えいしないという保証はありません。 DLPは通常、指示されていることを実行しますが、DLP管理者は、組織からデータが漏洩する可能性があるすべての方法を予測することは困難です。結局のところ、人間は機械で止めようとしているのですが、人々は依然としてコンピュータ(およびそれらを構成する人々)を時折上回っています。

繰り返しになりますが、既存のすべてのチャネルで必要なすべてのデータの漏洩を防ぐ完璧なシステムがあったとしても、誰かが携帯電話をひっくり返して、機密データが含まれているモニターの写真を撮ることができます。したがって、データを可能な限り保護するために、厳格な内部慣行を開発して適用する必要があります。

今、あなたの質問に直接答えるために:

小規模なスタートアップに適したDLPオプションとは何か

私は Forcepoint DLP で快適な経験をしてきました。次の理由から、これはあなたのケースに最も適していると思います。

  • 設定は簡単です。
  • ソースコードをすぐに検出するためのスクリプトとメソッドが含まれています。
  • ソリューションには リスクスコアリング が含まれており、ユーザーの過去のアクションに応じて適切なアクションを簡単に適用できるため、ビジネスプロセスが損なわれることはありません。
  • ベンダーの他のソリューションには ser and Entity Behavior Analytics が含まれ、これもあなたのケースに役立つかもしれません。

後者の2つのオプションは新興企業には多すぎるように見えるかもしれませんが、serverAdmin123が述べたように、重要なのは会社の規模ではなく、データの価値です。

ほとんどの場合、市場には他のソリューションがあり、顧客にとってより有益であるか、カスタムソリューションが必要になる可能性がありますが、これはあなたと彼らの間の議論の対象となります。

0
Elhitch